Centro Assistenza ACSIA

Ricerca

Cos'è la “shadow copy delete”?

Federico Trotta
Federico Trotta
  • Aggiornato

Panoramica

Questo articolo spiega l'alert ACSIA chiamato "shadow copy delete".

Spiegazione della shadow copy delete

"Shadow copy delete" si riferisce all'atto di un utente malintenzionato che tenta di rimuovere o eliminare le copie shadow (note anche come copie shadow del volume o VSS) su un computer o una rete. Le copie shadow sono backup  dei dati del sistema in momenti diversi e possono essere utilizzate per ripristinare i file in caso di perdita di dati o problemi di sistema. L'eliminazione delle copie shadow può impedire agli utenti di ripristinare le versioni precedenti dei propri file e può essere utilizzata dagli aggressori per coprire le proprie tracce dopo aver compromesso un sistema o perpetrato un attacco ransomware.

Esempio di attacco "shadow copy delete":

Immaginiamo una piccola impresa con più computer collegati a una rete locale. L'azienda archivia preziosi dati finanziari e informazioni riservate sui clienti su un server centrale. Il server ha una funzione chiamata Volume Shadow Copy abilitata, che crea copie di backup dei file a intervalli regolari durante il giorno.

Un utente malintenzionato riesce a ottenere un accesso non autorizzato alla rete dell'azienda sfruttando una vulnerabilità in uno dei computer. Una volta all'interno della rete, l'attaccante vuole coprire le proprie tracce e rendere più difficile per l'azienda recuperare i dati o annullare il danno che potrebbe causare.

Per raggiungere questo obiettivo, l'attaccante esegue un attacco "shadow copy delete". Usando l'accesso non autorizzato al server centrale, inizia ad eliminare le copie shadow esistenti. Rimuovendo questi backup, l'attaccante garantisce che se elimina o crittografa i file critici, l'azienda non sarà in grado di ripristinare le versioni precedenti dalle copie shadow.

Dopo aver eliminato con successo le copie shadow, l'attaccante procede a lanciare un attacco ransomware sul server centrale. Il ransomware crittografa tutti i dati critici dell'azienda, rendendoli inaccessibili.

Quando l'azienda scopre l'attacco ransomware, può decidere di pagare il riscatto all'aggressore per riottenere l'accesso ai propri dati. Tuttavia, a causa dell'attacco "shadow copy delete", l'azienda non ha più la possibilità di ripristinare i propri file dai backup precedenti, aumentando l'urgenza e la pressione per pagare il riscatto.

In questo esempio, l'attacco "shadow copy delete" mostra come un utente malintenzionato possa utilizzare il proprio accesso iniziale non autorizzato per sabotare le opzioni di ripristino dei dati e aumentare l'impatto di un attacco ransomware.

ACSIA ti avvisa quando c'è un tentativo di eliminare le copie shadow sulla tua infrastruttura.